Verschlüsselter Datentransfer zwischen Unternehmen und Unternehmensberatern ist für Datensicherheit eine zentrale Voraussetzung - ein Instrument zur sicheren Kommunikation ist die verschlüsselte Kommunikation – Damit setzen sich Unternehmensberater aber auch Unternehmen im Regelfall nicht wirklich auseinander. Während das Thema Datensicherheit bei der IT-Beratung schon länger angenommen ist, stellt sich die Branche der Unternehmensberater dieser Herausforderung nur sehr zögerlich.

Ohne Datensicherheit ist Vertraulichkeit nicht zu garantieren

Verschwiegenheit und Vertraulichkeit sind zentrale Grundlagen einer Unternehmensberatung. Sie sind Kernelemente der Standesregeln von Unternehmensberatern.

Dabei geht es aber schon lange nicht mehr nur darum, gegenüber Dritten Vertrauliches nicht auszuplaudern, Unterlagen ohne Einwilligung des Klienten keinesfalls weiterzugeben oder auch nur offen herumliegen zu lassen oder gar ungeschreddert im Papierkorb zu entsorgen. Verschwiegenheit und Vertraulichkeit beginnt bereits bei der Übermittlung sensibler Daten. 

Kundendaten werden häufig unverschlüsselt übermittelt

Noch vor einigen Jahren erregte meine Bitte um Übermittlung des sog. ‚Public Key’ bei nahezu allen Unternehmen, die sich mit der Bitte um Beratung an mich wandten, auf Verwunderung. Obwohl sensible Daten in einer Beratung ausgetauscht werden und dies in den meisten Fällen digital und über das Internet erfolgt, störte sich offenbar kaum jemand daran, dass diese als Anhänge in E-Mails für jeden, der sich auch nur ein wenig auskennt, problemlos lesbar sind. Eine nahezu fahrlässige Haltung, die oftmals der Bequemlichkeit geschuldet war/ ist. Die Situation hat sich bis heute nur unwesentlich geändert.

‚Public Keys’ sind erforderlich, um mit einer wirksamen Verschlüsselung von Daten bspw. via PGP oder GPGP sensible Unterlagen auszutauschen. Mit dem ‚Public Key’ eines Empfängers werden Daten bzw. ganze Mails inkl. Anhängen verschlüsselt. Nur der Empfänger, der über der erforderlichen ‚Privat Key’ verfügt, also den zweiten Schlüssel des ‚KeyPair’, kann die Datei bzw. E-Mail öffnen und lesen. Für alle anderen bleibt die Datei bzw. das E-Mail verschlüsselt, selbst für NSA und GCHQ.

Mit der Erfordernis einer Verschlüsselung bzw. einer digitalen Signatur wurden viele Unternehmen erst im Zusammenhang mit einer gültigen digitalen Rechnung konfrontiert, vulgo der ‚elektronischen Rechnungslegung’. Wie nicht anders zu erwarten war, wurden die strikten Vorgaben mit dem Rechnungsänderungsgesetz von 2013 wieder weitgehend vereinfacht . Nur etwa 30 Prozent der österreichischen Unternehmen kennen lt. WKO Studien die Regeln zur E-Rechnung.

Beratungsberichte werden ebenfalls häufig unverschlüsselt verschickt

Werden einerseits sensible Unternehmensdaten von Unternehmen unverschlüsselt und damit öffentlich einsehbar an den Unternehmensberater übermittelt, schicken Unternehmensberater ihre Berichte, Empfehlungen etc. wiederum i.d.R. unverschlüsselt an die Unternehmen.

Nicht nur, dass Provider und IT Mitarbeiter_innen mit Zugang zu den Mailservern freien Zugriff auf sensible Daten haben, werden Mails mit sensible Anhänge nicht selten unüberlegt weitergeleitet und gelangen damit oft in falsche Hände.

Mittels Verschlüsselung durch KeyPairs kann sichergestellt werden, dass die Unterlagen nur von den Adressaten gelesen werden können, für die sie gedacht sind. Sollten Teile der Unterlagen, bzw. die gesamten Unterlagen in falsche Hände geraten, so lässt sich die „undichte Stelle” zudem leichter ausfindig machen. Sofern ist die Verschlüsselung eine brauchbare Alternative zu DRM gesicherten Formaten.

Wie wirksam sind dann letztlich Vertraulichkeitsvereinbarungen?

Wenn zwischen Unternehmen und Unternehmensberater Vertraulichkeit vereinbart wird, dann ist das ohne verschlüsselten Informations- und Datenaustausch über digitale Kanäle letztlich nicht zu gewährleisten. Geraten Daten in falsche Hände, so ist die Beweisführung, wer dafür letztlich verantwortlich ist, ohne aufwändige forensische Nachforschungen schwer zu erbringen, wenn überhaupt. 

Ich empfehle Kolleg_innen die einschlägigen Abschnitte in den AGB anzupassen, d.h. Vertraulichkeit im Bereich digitalen Informations- und Datenaustausches nur dann zu garantieren, wenn seitens des Unternehmens effektive Verschlüsselungstools genutzt werden. Das ergibt natürlich nur dann Sinn, wenn der Unternehmensberater dazu auch selbst in der Lage ist.

Das OpenPGP Zertifikat/ den Public Key von npo-consulting.net finden Sie unter: 21254963